Firefox < 26.0 多個弱點 (Mac OS X)

critical Nessus Plugin ID 71344

概要

遠端 Mac OS X 主機含有可能受到多個弱點影響的網頁瀏覽器。

說明

安裝的 Firefox 版本比 26.0 舊,因此可能會受到多個弱點影響:

- 瀏覽器引擎中存有記憶體問題,可導致拒絕服務或任意程式碼執行。(CVE-2013-5609、CVE-2013-5610)

- 存在 Web 應用程式安裝通知會從一個網站顯示到其他網站的問題。惡意的網站可利用此問題,誘騙使用者從某個網站安裝應用程式,同時使它看起來像是來自另一個網站。(CVE-2013-5611)

- 跨網站指令碼篩選規避問題,可能是因為目前的網站遺漏字元組編碼時,系統從之前造訪過的網站繼承字元編碼所導致。(CVE-2013-5612)

- 用於處理綜合滑鼠移動的函式中存在兩個釋放後使用弱點。
(CVE-2013-5613)

- 因為 'iframe sandbox' 限制沒有正確套用至沙箱 iframe 中的 'object' 元素,故沙箱限制可能遭繞過。(CVE-2013-5614)

- 存在 'GetElementIC' 型別陣列虛設常式可在觀察到的排版之外產生的問題。這可導致出現無法預測的行為,帶來潛在的安全性影響。(CVE-2013-5615)

- 與來自 mListeners 陣列的事件接聽程式互動時,存在釋放後使用弱點。這可導致拒絕服務或是任意程式碼執行。(CVE-2013-5616)

- 在記憶體回收期間,編輯器的表格編輯使用者介面存在釋放後使用弱點。這可導致拒絕服務或是任意程式碼執行。(CVE-2013-5618)

- SpiderMonkey JavaScript 引擎的二進位搜尋演算法中存在記憶體問題,可造成拒絕服務或任意程式碼執行。
(CVE-2013-5619)

- 'libjpeg' 程式庫中,處理具有 Start Of Scan (SOS) 和 Define Huffman Table (DHT) 標記的 JPEG 格式影像時存在問題。這可允許攻擊者讀取任意記憶體內容,以及竊取跨網域影像。(CVE-2013-6629、CVE-2013-6630)

- 透過指令碼在文件中插入指定的清單時存在記憶體問題,可造成拒絕服務或任意程式碼執行。
(CVE-2013-6671)

- 延伸驗證 (EV) 憑證驗證期間,內建 root 憑證的信任設定遭到忽略。這會導致使用者無法明確不信任來自特定憑證授權單位的 root 憑證。(CVE-2013-6673)

- Mozilla 的 root 憑證授權單位中存在攔截式 (MITM) 流量管理裝置所使用的中繼憑證。據回報,此憑證遭到誤用。

解決方案

升級至 Firefox 26.0 或更新版本。

另請參閱

https://www.mozilla.org/security/announce/2013/mfsa2013-104.html

https://www.mozilla.org/security/announce/2013/mfsa2013-105.html

https://www.mozilla.org/security/announce/2013/mfsa2013-106.html

https://www.mozilla.org/security/announce/2013/mfsa2013-107.html

https://www.mozilla.org/security/announce/2013/mfsa2013-108.html

https://www.mozilla.org/security/announce/2013/mfsa2013-109.html

https://www.mozilla.org/security/announce/2013/mfsa2013-110.html

https://www.mozilla.org/security/announce/2013/mfsa2013-111.html

https://www.mozilla.org/security/announce/2013/mfsa2013-113.html

https://www.mozilla.org/security/announce/2013/mfsa2013-114.html

https://www.mozilla.org/security/announce/2013/mfsa2013-115.html

https://www.mozilla.org/security/announce/2013/mfsa2013-116.html

https://www.mozilla.org/security/announce/2013/mfsa2013-117.html

Plugin 詳細資訊

嚴重性: Critical

ID: 71344

檔案名稱: macosx_firefox_26.nasl

版本: 1.11

類型: local

代理程式: macosx

已發布: 2013/12/11

已更新: 2019/11/27

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2013-5618

弱點資訊

CPE: cpe:/a:mozilla:firefox

必要的 KB 項目: MacOSX/Firefox/Installed

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/12/10

弱點發布日期: 2013/12/10

參考資訊

CVE: CVE-2013-5609, CVE-2013-5610, CVE-2013-5611, CVE-2013-5612, CVE-2013-5613, CVE-2013-5614, CVE-2013-5615, CVE-2013-5616, CVE-2013-5618, CVE-2013-5619, CVE-2013-6629, CVE-2013-6630, CVE-2013-6671, CVE-2013-6673

BID: 63676, 63679, 64203, 64204, 64205, 64206, 64207, 64209, 64211, 64212, 64213, 64214, 64215, 64216

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990